当前位置: 首页 > 行业资讯 > 网络安全日报 2024年04月19日

网络安全日报 2024年04月19日

发表于:2024-04-19 08:46 作者: 合天网安实验室 阅读数(1824人)

1、FIN7组织针对美国汽车行业进行网络钓鱼攻击活动

https://blogs.blackberry.com/en/2024/04/fin7-targets-the-united-states-automotive-industryfin7-targets-american-automakers-it-staff-in-phishing-attacks/

FIN7组织针对一家美国大型汽车制造商,向其IT部门的员工发送鱼叉式网络钓鱼电子邮件,以投递Anunak后门。电子邮件中的链接将指向“advanced-ip-sccanner[.]com”,该域名对合法域名“advanced-ip-scanner[.]com”进行了模仿。研究人员发现,该虚假网站重定向到“myipscanner[.]com”(现已离线)。接下来,访问者将被带到一个Dropbox页面,该页面提供伪装成Advanced IP Scanner的恶意可执行程序('WsTaskLoad.exe')。该程序执行后,会触发一个涉及DLL、WAV文件和shellcode执行的多阶段流程,从而加载和解密一个名为“dmxl.bin”的文件,其中包含Anunak后门。Anunak/Carbanak是FIN7组织常使用的几种恶意软件工具之一。

2、攻击者针对存在漏洞的Atlassian服务器部署Cerber勒索软件

https://www.cadosecurity.com/blog/cerber-ransomware-dissecting-the-three-heads

攻击者正在针对存在漏洞的Atlassian服务器部署Cerber(又名C3RB3R)勒索软件的Linux变种。这些攻击利用了CVE-2023-22518(CVSS 评分:9.1),这是一个影响Atlassian Confluence数据中心和服务器的严重安全漏洞,允许未经身份验证的攻击者重置Confluence并创建管理员帐户。研究人员称,已观察到出于经济动机的网络犯罪组织滥用新创建的管理员帐户来安装Effluence Web shell插件并在主机上执行任意命令,攻击者使用这个Web shell下载并运行Cerber勒索软件。

3、研究人员披露名为SoumniBot的新型安卓恶意软件

https://securelist.com/soumnibot-android-banker-obfuscates-app-manifest/112334

研究人员近期发现一种名为“SoumniBot”的新安卓恶意软件,使用一种不太常见的混淆方法,该方法使SoumniBot能够规避安卓手机中的标准安全措施并执行信息窃取操作。清单文件(“AndroidManifest.xml”)位于每个应用的根目录中,包含有关组件(服务、广播接收器、内容提供商)、权限和应用数据的详细信息。恶意APK可以使用Zimperium的各种压缩技巧来欺骗安全工具并规避分析,但研究人员发现,SoumniBot使用了三种不同的方法,涉及操纵清单文件的压缩和大小,以绕过解析器检查。该恶意软件启动后,从硬编码的服务器地址请求其配置参数,并发送受感染设备的分析信息,包括编号、运营商等。接下来,它会启动一个恶意服务,如果停止,该服务每16分钟重新启动一次,并每15秒传输一次来自受害者的被盗数据,窃取的详细信息包括IP地址、联系人列表、帐户详细信息、短信、照片、视频和网上银行数字证书。

4、僵尸网络利用TP-LINK AX21漏洞CVE-2023-1389进行大规模传播

https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread

2023年,研究人员披露了一个命令注入漏洞CVE-2023-1389,并为TP-Link Archer AX21(AX1800)的 Web管理界面开发了修复程序。最近,研究人员观察到针对该漏洞的多次攻击活动,主要涉及Moobot、Miori、基于Golang的代理“AGoent”和Gafgyt Variant等僵尸网络。尽管漏洞CVE-2023-1389已在去年被披露,但许多攻击活动仍在利用该漏洞显著峰值。用户应警惕僵尸网络,及时应用补丁以保护网络环境免受感染。

5、Oracle发布2024年4月安全更新解决了372个漏洞

https://cybersecuritynews.com/alert-oracle-releases-critical-patch-update-2024

Oracle发布了2024年4月的安全更新,解决了多个产品中的372个漏洞。关键补丁更新修复了Oracle产品中的安全漏洞,包括数据库服务器、融合中间件、企业管理器、电子商务套件、供应链产品套件、Siebel CRM、Oracle Sun产品、Java SE等。此次更新包括对几个关键安全漏洞的修复,这些漏洞可能允许攻击者远程执行代码、操作数据或未经授权访问系统。修复的漏洞跨越多个严重级别,其中34个被归类为“Critical”,这意味着攻击者可以利用它们来获得未经授权的访问、执行任意代码或中断系统操作。此更新还修复了159个严重性等级为“Important”的漏洞,这些漏洞可被远程利用来访问敏感数据。其余问题被分类为中危或低危。

6、美国最大的医疗服务提供商因网络攻击损失 8.72 亿美元

https://www.freebuf.com/news/398310.html

联合健康集团(UnitedHealth Group)报告称,自 2 月份以来,勒索软件攻击扰乱了美国的医疗系统,并已经给其造成了 8.72 亿美元的损失。勒索软件攻击造成的影响包括 5.93 亿美元的直接网络攻击响应成本和 2.79 亿美元的业务中断成本。

7、研究表明,全球互联网流量竟有一半来自机器人

https://cybernews.com/news/most-internet-traffic-comes-from-bots/

报告称,早期的恶意机器人规避技术依赖于伪装成合法人类用户常用的用户代理(浏览器),现在,伪装成移动用户的机器人将占到了所有机器人流量的 44%。

8、Chirp Systems软件控制的智能锁被发现严重的安全漏洞

https://www.securitylab.ru/news/547516.php

该漏洞是由于密码和私钥被硬编码在 Chirp Android 应用程序中。这些数据可用于访问智能锁供应商奥古斯特的 API,从而远程控制锁具。

9、Kimsuky 利用许可性 DMARC 政策伪造电子邮件

https://www.inforisktoday.com/kimsuky-uses-permissive-dmarc-policies-to-spoof-emails-a-24857

Kimsuky 黑客利用电子邮件诱使受害者下载携带恶意软件的文档,同时将其作为主要情报收集工具,通过冒充记者或智库工作人员向目标征求分析意见。

10、Meta虚假信息泛滥,俄罗斯被指借此干预欧盟选举

https://www.freebuf.com/news/398315.html

据非营利性分析机构 AI Forensics 的一份新报告称,一个已知网络一直在 Meta 平台(Facebook、Instagram、Messenger 和 Threads)上针对法国和德国的欧盟选举进行亲俄宣传。

声明

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。